UrlClickEvents
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
- Office 365용 Microsoft Defender
UrlClickEvents 고급 헌팅 스키마의 표에는 지원되는 데스크톱, 모바일 및 웹앱의 전자 메일 메시지, Microsoft Teams 및 Office 365 앱의 안전 링크 클릭에 대한 정보가 포함되어 있습니다.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
사용자가 링크를 클릭한 날짜 및 시간입니다. |
Url |
string |
사용자가 클릭한 전체 URL |
ActionType |
string |
테넌트 허용 차단 목록과 같은 테넌트 정책으로 인해 클릭이 안전한 링크에 의해 허용 또는 차단되었는지 또는 차단되었는지 여부를 나타냅니다. |
AccountUpn |
string |
링크를 클릭한 계정의 사용자 계정 이름 |
Workload |
string |
사용자가 링크를 클릭한 응용 프로그램이며 값이 Email Office 및 Teams |
NetworkMessageId |
string |
Microsoft 365에서 생성한 클릭 링크가 포함된 전자 메일의 고유 식별자입니다. |
IPAddress |
string |
사용자가 링크를 클릭한 디바이스의 공용 IP 주소 |
ThreatTypes |
string |
URL이 맬웨어, 피싱 또는 기타 위협으로 이어졌는지 여부를 알려주는 클릭 시 평결 |
DetectionMethods |
string |
클릭 시 위협을 식별하는 데 사용된 검색 기술 |
IsClickedThrough |
bool |
사용자가 원래 URL을 클릭할 수 있었는지 아니면 허용되지 않았는지를 나타냅니다. |
UrlChain |
string |
리디렉션과 관련된 시나리오의 경우 리디렉션 체인에 있는 URL을 포함합니다. |
ReportId |
string |
클릭 이벤트에 대한 고유 식별자입니다. 클릭스루 시나리오의 경우 보고서 ID의 값이 같으므로 클릭 이벤트의 상관 관계를 지정하는 데 사용해야 합니다. |
테이블을 사용하여 UrlClickEvents 사용자가 진행할 수 있는 링크 목록을 반환하는 이 예제 쿼리를 시도할 수 있습니다.
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp